Blog

Otrăvirea/falsificarea ARP: Cum să o detectați și să o preveniți

Falsificarea intoxicării cu ARP

Otrăvirea ARP (Address Resolution Protocol) este un atac care implică trimiterea de mesaje ARP falsificate printr-o rețea locală. Este cunoscut și ca Falsificarea ARP , ARP otravire de rutare și otrăvire ARP cache.

În schimb, aceste atacuri încearcă să deturneze traficul de la gazda destinată inițial către un atacator. Otrăvirea ARP face acest lucru prin asocierea adresei Media Access Control (MAC) a atacatorului cu adresa IP a țintei. Funcționează numai împotriva rețelelor care folosesc ARP.

Otrăvirea ARP este un tip de atac de tip om-in-the-middle cu care poate fi folositopriți traficul în rețea, schimbați-l sau interceptați-l. Tehnica este adesea folosită pentru a iniția alte ofensive, cum ar fideturnarea sesiunii sau refuzul serviciului.

ARP otravire_spoofing

Înainte de a putea înțelege ce este otrăvirea ARP, este important să aveți o cunoaștere solidă a protocolului ARP. Înainte de a putea vorbi despre protocolul ARP, trebuie să facem o copie de rezervă puțin mai departe și să vorbim despre suita de protocoale Internet.

Suita de protocoale Internet

Când deschideți browserul web de pe telefon, meme-urile și imaginile cu pisici vă sunt livrate aproape instantaneu și cu puțin efort, făcând procesul să pară simplu.

Poate părea că telefonul dvs. și serverul care găzduiește imaginile cu pisici sunt conectate ca două cești pe un șir și că, ca doi copii care se joacă la telefon, imaginea pisicii se deplasează de-a lungul unor fire și apare pe telefon ca sunetul unui voce peste șir. Având în vedere prevalența wifi și a datelor în zilele noastre, poate părea chiar că imaginea pisicii călătorește cumva prin eter.

Desigur, acesta nu este cazul. Călătoria imaginii pisicii este de fapt destul de complexă, călătorind printr-un sistem multistrat care este cel mai bine aproximat cu Suita de protocoale de internet model:

  • Stratul de aplicare – La nivelul aplicației, nici tu, nici browserul web, nici software-ul serverului nu știi cu adevărat cum ți-a fost livrată imaginea pisicii. Nu știți prin câte routere au trecut datele pentru imaginea pisicii sau dacă au călătorit prin conexiuni wireless. Tot ce știi este că ai dat clic pe un link și că poza pisicii a venit la tine.
  • Stratul de transport – Cu stratul de transport, ajungem puțin sub capotă. Stratul de transport este responsabil pentru stabilirea unei conexiuni între client (telefonul tău) și serverul care găzduiește site-ul. Stratul de transport urmărește conexiunea și caută erori, dar nu îi pasă de modul în care sunt mutate datele între client și server.
  • Stratul de internet – Software-ul de nivel Internet este responsabil pentru mutarea datelor între rețele. Nu îi pasă de datele imaginii pisicii și o tratează la fel cum ar trata datele pentru o carte electronică despre chimie. Odată ce software-ul stratului de internet aduce datele despre imaginea pisicii în rețeaua locală, le predă software-ului stratului de legătură.
  • Stratul de legătură – Software-ul pentru stratul de legătură mută atât datele de intrare, cât și cele de ieșire în rețeaua locală. Preia datele pentru imaginea pisicii din software-ul stratului de internet și le livrează pe dispozitivul dvs.

Fiecare dintre straturile de mai sus poate avea o grămadă de protocoale diferite care rulează prin ele pentru a-și finaliza sarcinile. Această mizerie de sistem funcționează cumva coeziv pentru a aduce imaginea pisicii de pe server pe ecranul telefonului.

Ce este Address Resolution Protocol (ARP)?

Protocolul de rezoluție a adresei (ARP) este pur și simplu unul dintre aceste protocoale. Este folosit pentru a descoperi care adresă a stratului de legătură, cum ar fi o adresă MAC, corespunde cu o anumită adresă de nivel de internet pentru o mașină fizică. Acestea sunt în general adrese IPv4.

De cand IPv4 este încă cel mai des folosit protocol de internet, ARP, în general, face o punte între adresele IPv4 pe 32 de biți și adresele MAC pe 48 de biți. Funcționează în ambele direcții.

Relația dintre o anumită adresă MAC și adresa sa IP este păstrată într-un tabel cunoscut sub numele de cache ARP. Când un pachet se îndreaptă către o gazdă pe a ȘI ajunge la gateway, gateway-ul folosește ARP pentru a asocia adresa MAC sau a gazdei fizice cu adresa IP corelată.

Gazda caută apoi prin memoria cache ARP. Dacă localizează adresa corespunzătoare, adresa este utilizată pentru a converti formatul și lungimea pachetului. Dacă adresa corectă nu este găsită, ARP va trimite un pachet de solicitare care întreabă alte mașini din rețeaua locală dacă știu adresa corectă. Dacă o mașină răspunde cu adresa, memoria cache ARP este actualizată cu aceasta în cazul în care există solicitări viitoare din aceeași sursă.

Ce este intoxicația cu ARP?

Acum că înțelegeți mai multe despre protocolul de bază, putem acoperi otrăvirea ARP mai în profunzime. Protocolul ARP a fost dezvoltat pentru a fi eficient, ceea ce a dus la un serioslipsa de securitateîn designul său. Acest lucru face ca cineva să declanșeze aceste atacuri relativ ușor, atâta timp cât poate accesa rețeaua locală a țintei sale.

Otrăvirea ARP implică trimitereapachete de răspuns ARP falsificate la un gateway prin rețeaua locală. Atacatorii folosesc de obicei instrumente de falsificare precum Arpspoof sau Arppoison pentru a ușura munca. Ei setează adresa IP a instrumentului pentru a se potrivi cu adresa țintei lor. Instrumentul scanează apoi LAN-ul țintă pentru adresele IP și MAC ale gazdelor sale.

Odată ce atacatorul are adresele gazdelor, încep să trimită pachete ARP falsificate prin rețeaua locală către gazde.Mesajele frauduloase le spun destinatarilor că adresa MAC a atacatorului ar trebui să fie conectată la adresa IP a mașinii pe care o vizează..

Astfel, destinatarii își actualizează memoria cache ARP cu adresa atacatorului. Când destinatarii comunică cu ținta în viitor,mesajele lor vor fi de fapt trimise atacatorului.

În acest moment, atacatorul se află în secret în mijlocul comunicațiilor și poate folosi această poziție pentru a citi traficul și a fura date. De asemenea, atacatorul poate modifica mesajele înainte de a ajunge la țintă sau chiar poate opri complet comunicațiile.

Atacatorii pot folosi aceste informații pentru a declanșa alte atacuri, cum ar fi refuzul serviciului sau deturnarea sesiunii:

  • Refuzarea serviciului – Aceste atacuri pot lega un număr de adrese IP separate la adresa MAC a unei ținte. Dacă suficiente adrese trimit solicitări către țintă, aceasta poate deveni supraîncărcată de trafic, ceea ce îi perturbă serviciul și îl face inutilizabil.
  • Deturnarea sesiunii – Falsificarea ARP poate fi folosită pentru a fura ID-urile de sesiune, pe care hackerii le folosesc pentru a intra în sisteme și conturi. Odată ce au acces, pot lansa tot felul de ravagii împotriva țintelor lor.

Cum se detectează otrăvirea ARP

Otrăvirea ARP poate fi detectată în mai multe moduri diferite. Puteți utiliza Command Prompt din Windows, un analizor de pachete open-source, cum ar fi Wireshark , sau opțiuni proprietare, cum ar fi XArp .

Prompt de comandă

Dacă bănuiți că ați putea suferi de un atac de otrăvire ARP, puteți verifica în Linia de comandă. Mai întâi, deschideți Command Prompt ca administrator. Cel mai simplu mod este să apăsați pe Tasta Windows pentru a deschide meniul de pornire. Introduceți ' cmd ”, apoi apăsați Crtl , Schimb și introduce în același timp.

Aceasta va afișa Linia de comandă, deși poate fi necesar să faceți clic da pentru a acorda aplicației permisiunea de a face modificări. În linia de comandă, introduceți:

arp -a

Acest lucru vă va oferi tabelul ARP:

arp-otrăvire-1

*Adresele din imaginea de mai sus au fost parțial înnegrite din motive de confidențialitate.*

Tabelul arată adresele IP în coloana din stânga și adresele MAC în mijloc.Dacă tabelul conține două adrese IP diferite care au aceeași adresă MAC, atunci probabil că suferiți un atac de otrăvire ARP.

De exemplu, să presupunem că tabelul dvs. ARP conține o serie de adrese diferite. Când îl scanați, puteți observa că două dintre adrese IP au aceeași adresă fizică. Este posibil să vedeți așa ceva în tabelul dvs. ARP dacă sunteți otrăvit:

Adresă de Internet Adresă fizică

192.168.0.1 00-17-31-dc-39-ab

192.168.0.105 40-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

După cum puteți vedea, atât prima, cât și a treia adresă MAC se potrivesc. Acest lucru indică faptul că proprietarul adresei IP 192.168.0.106 este cel mai probabil atacatorul.

Alte optiuni

Wireshark poate fi folosit pentru a detecta otrăvirea ARP prin analiza pachetelor, deși pașii sunt în afara domeniului acestui tutorial și probabil cel mai bine lăsați la cei care au experiență cu programul.

Detectoarele comerciale de otrăvire cu ARP, cum ar fi XArp, facilitează procesul. Acestea vă pot oferi alerte când începe otrăvirea ARP, ceea ce înseamnă că atacurile sunt detectate mai devreme și daunele pot fi minimizate.

Cum să preveniți otrăvirea cu ARP

Puteți folosi mai multe metode pentru a preveni intoxicația cu ARP, fiecare cu propriile sale pozitive și negative. Acestea includ intrări ARP statice, criptare, VPN-uri și sniffing de pachete.

Intrări ARP statice

Această soluție implică o mulțime de cheltuieli administrative și este recomandată doar pentru rețelele mai mici. Aceasta implică adăugarea unei intrări ARP pentru fiecare mașină dintr-o rețea în fiecare computer individual.

Maparea mașinilor cu seturi de adrese IP și MAC statice ajută la prevenirea atacurilor de falsificare, deoarece mașinile pot ignora răspunsurile ARP. Din pacate,această soluție te poate proteja doar de atacuri mai simple.

Criptare

Protocoalele precum HTTPS și SSH pot ajuta, de asemenea, la reducerea șanselor unui atac de otrăvire ARP de succes. Când traficul este criptat, atacatorul ar trebui să treacă la pasul suplimentar de a păcăli browserul țintei să accepte un certificat nelegitim. In orice caz,orice date transmise în afara acestor protocoale vor fi în continuare vulnerabile.

VPN-uri

Un VPN poate fi o apărare rezonabilă pentru indivizi, dar în general nu sunt potrivite pentru organizațiile mai mari. Dacă este vorba doar de o singură persoană care realizează o conexiune potențial periculoasă, cum ar fi utilizarea wifi public la un aeroport, atunci aVPN va cripta toate datele care circulă între client și serverul de ieșire. Acest lucru ajută la menținerea lor în siguranță, deoarece un atacator va putea vedea doar textul cifrat.

Este o soluție mai puțin fezabilă la nivel organizațional, deoarece conexiunile VPN ar trebui să existe între fiecare computer și fiecare server. Nu numai că ar fi complex de configurat și întreținut, dar criptarea și decriptarea la această scară ar împiedica și performanța rețelei.

Filtre de pachete

Aceste filtre analizează fiecare pachet care este trimis printr-o rețea. Ei potfiltrați și blocați pachetele rău intenționate, precum și cele ale căror adrese IP sunt suspecte. Filtrele de pachete pot spune, de asemenea, dacă un pachet pretinde că provine dintr-o rețea internă atunci când provine de fapt din exterior, contribuind la reducerea șanselor ca un atac să aibă succes.

Protejarea rețelei dvs. de otrăvirea ARP

Dacă doriți ca rețeaua dvs. să fie protejată de amenințarea otrăvirii ARP, cel mai bun plan este o combinație a instrumentelor de prevenire și detectare menționate mai sus.Metodele de prevenire tind să aibă defecte în anumite situații, astfel încât chiar și cel mai sigur mediu se poate afla sub atac.

Dacă există și instrumente de detectare activă, atunci veți ști despre otrăvirea ARP de îndată ce începe. Atâta timp cât administratorul dvs. de rețea acționează rapid odată ce a fost alertat, puteți în generalopriți aceste atacuri înainte ca multe daune să fie provocate.

În legătură cu o postare: Cum să preveniți atacurile de falsificare

Design de imagine bazat pe ARP Spoofing de 0x55534C sub CC3.0

^